Cos'è la PSD2?

La direttiva sui servizi di pagamento (PSD), originariamente adottata nel 2007, è il fondamento giuridico dell'area unica dei pagamenti in euro (SEPA). PSD2 è la direttiva rivista sui servizi di pagamento. Il "2" si riferisce alla direttiva rivista, in quanto ha sostituito la direttiva originale sui servizi di pagamento (PSD). I regolamenti delineati all'interno della PSD2 hanno lo scopo di proteggere i consumatori e i loro dati, comprendendo opzioni di pagamento più sicure, tempi di pagamento più rapidi e definendo i diritti di rimborso.

Diagramma PSD2

La PSD è stata concepita per permettere pagamenti più facili tra i 74 membri del Consiglio europeo dei pagamenti e per migliorare la protezione dei consumatori per i cittadini degli stati membri dell'UE. L'obiettivo principale della PSD era quello di aumentare la partecipazione e la concorrenza nell'industria europea dei pagamenti, riunendo i fornitori di servizi di pagamento sotto un unico insieme di regolamenti e standard. Si applica alle banche, agli istituti finanziari e alle imprese non finanziarie.

Ci sono esenzioni alla direttiva PSD2, che si applicano principalmente alle piccole transazioni o a quelle considerate a basso rischio. Questo comprende i piccoli pagamenti contactless, i pagamenti effettuati da imprese in "white list", le transazioni impostate su una base ricorrente, e altre transazioni che sono considerate opportunità di frode a "basso rischio".

La direttiva mirava ad introdurre pratiche e norme eque nell'industria europea dei pagamenti, il che è stato realizzato principalmente attraverso il concetto di "massima armonizzazione". La massima armonizzazione è concepita per considerare i diritti e gli obblighi dei fornitori di servizi di pagamento, tenendo anche conto della necessità di proteggere i consumatori. L'intento era quello di trovare un equilibrio tra i due attraverso regolamenti che avrebbero aumentato la concorrenza, protetto gli utenti, accelerato il processo dei pagamenti, e definito chiaramente i diritti e le procedure appropriate per tutte le parti coinvolte.

Crea il tuo nuovo ecosistema di Open Banking!
Crea il tuo nuovo ecosistema di Open Banking!
Scopri le 5 tecnologie necessarie per creare un vantaggio significativo.

Gli elementi della PSD2

La direttiva prevede due componenti principali: regole di condotta aziendale e regole di mercato. Le regole di condotta aziendale stabiliscono quali informazioni i fornitori di servizi di pagamento sono tenuti a fornire quando viene effettuata una richiesta di dati. Esse indicano nel dettaglio anche i diritti e gli obblighi aggiuntivi dei fornitori di servizi di pagamento e dei clienti, comprese le linee guida per autorizzare ed eseguire le transazioni e delinea le responsabilità e i processi da seguire quando si emettono rimborsi o revoche. Inoltre, la direttiva stabilisce una "autorità competente" per ogni membro partecipante per supervisionare tutti gli istituti che forniscono servizi di pagamento in ogni specifico Paese.

Le regole di mercato hanno introdotto la frase "istituti di pagamento" all'interno dell'area unica dei pagamenti in euro (SEPA). Queste regole delineano quali istituti sono idonei ad amministrare i servizi di pagamento e forniscono una guida per quelle istituti per richiedere di essere istituti di pagamento autorizzati.

Le revisioni della PSD2 sono state apportare da allora per affrontare diverse questioni che erano state precedentemente trascurate. Per esempio, la direttiva era originariamente abbastanza limitata nella sua portata; inizialmente erano coperte solo le transazioni che avvenivano tra le nazioni dello Spazio economico europeo.

La tecnologia necessaria per la PSD2

La PSD2 promuove la partecipazione e la concorrenza dando la possibilità ai consumatori e agli istituti di usare fornitori di servizi di pagamento terzi per effettuare le transazioni e gestire le loro finanze. I fornitori terzi includono aziende finanziarie, fintech che forniscono servizi tramite app digitali, o fornitori di pagamento autonomi separati.

La direttiva richiede ai fornitori di servizi di pagamento di esporre le API aperte che permettono ai consumatori di accedere in modo sicuro ai propri conti bancari e alle proprie informazioni attraverso fornitori terzi. Questi fornitori di servizi di pagamento rientrano in tre categorie principali:

  • Gli Account information service provider (AISP) possono accedere ai dati sensibili per analizzare i modelli di spesa per ottenere una maggiore business intelligence.
  • I Payment initiation service provider (PISP) sono i fornitori di servizi che iniziano le transazioni sia per i consumatori che per le aziende.
  • Gli Account servicing payment service provider (ASPSP) sono gli istituti finanziari che offrono conti di pagamento con accesso online, tra cui banche, società edilizie, società di gestione patrimoniale e società di investimento.

Questi istituti gestiscono i dati personali sensibili sia dei singoli consumatori che delle organizzazioni, compresi i dati della carta, le informazioni del conto bancario, i nomi completi, i numeri di identificazione rilasciati dal governo e altro ancora. Per questo motivo, gli istituti che aderiscono alla PSD2 devono anche aderire alle norme di conformità al GDPR.

Data la natura sensibile delle informazioni sui clienti a cui si accede attraverso le API aperte, la PSD2 stabilisce regole severe per la protezione sicura dei dati, compresa la verifica delle identità degli utenti attraverso una forte autenticazione del cliente e permettendo ai clienti di concedere il consenso e specificare le preferenze di utilizzo dei dati. La direttiva richiede una forte autenticazione del cliente sui pagamenti elettronici. Prevede inoltre che le aziende debbano aderire a modalità di comunicazione comuni e sicure. Adottando queste modalità, i dati possono essere condivisi in maniera più rapida e sicura tra i fornitori di servizi di pagamento e i loro consumatori.

L'impatto della PSD2 sul business digitale

La PSD2 sta aiutando a spingere l'industria finanziaria europea nella giusta direzione, integrando il mercato dei pagamenti in tutta Europa. La motivazione alla base delle modifiche apportate è stata la capacità di attuare standard bancari aperti all'interno dello Spazio economico europeo. L'Open banking è fondato sull'idea di modernizzare il settore bancario combinando le banche tradizionali, le startup fintech e altre nuove tecnologie.

L'Open banking fa uso di API per consentire l'integrazione con applicazioni e server di terze parti. Costringe anche gli istituti ad abbracciare la tecnologia open-source, il che significa adottare i più recenti standard per la privacy dei dati. Se il tuo istituto ha sede nello spazio economico europeo o accetta pagamenti elettronici da organizzazioni all'interno dell'Unione europea, sei soggetto alle normative PSD2.

Combattere i crimini finanziari con TIBCO
Combattere i crimini finanziari con TIBCO
E se si potesse usare una sola piattaforma per rilevare tutti i tipi di crimini finanziari più importanti?

Revisioni della sicurezza e della privacy

La direttiva rivista ha protetto meglio i consumatori, applicando norme di sicurezza più rigide e modernizzando il processo di pagamento. Con le innovazioni dei pagamenti online e mobili e lo sviluppo dell'open banking, le transazioni internazionali hanno richiesto un processo più sicuro per proteggere le informazioni dei consumatori.

Ulteriori revisioni includono l'attuazione della "strong customer authentication" come standard di "comunicazione comune e sicura". Entrambe le misure sono fondamentali per impedire le frodi nelle transazioni e garantire la sicurezza dei dati dei titolari di carta.

Gli standard di strong customer authentication stabiliscono come i fornitori di servizi di pagamento sono tenuti a verificare la legittimità delle sue transazioni elettroniche. Questi standard devono essere applicati ad ogni singolo pagamento che avviene, così come ogni volta che un consumatore accede al suo conto di pagamento.

Una regola chiave degli standard di strong customer authentication è che almeno due misure di sicurezza devono essere utilizzate per la verifica. Questo può includere una password, un PIN, una scansione dell'impronta digitale, l'autenticazione con carta o un codice di autenticazione generato in modo unico. Uno dei protocolli di sicurezza più comunemente usati per soddisfare gli standard di comunicazione sicura e comune è 3DS2, o 3-D Secure.

Gli standard di comunicazione comuni e sicuri impongono l'autenticazione di tutte le comunicazioni tra le parti coinvolte nel processo di transazione. Gli standard richiedono agli istituti di stabilire canali sicuri attraverso i quali possono comunicare con i fornitori di terze parti al fine di fornire un accesso sicuro ai dati sensibili dei consumatori e dei pagamenti. Un fornitore di terze parti è qualsiasi organizzazione che sfrutta le API di open banking per offrire un servizio innovativo, un'opzione di pagamento, uno strumento o un'idea ai consumatori finanziari.

Aderire alla PSD2

La conformità di PSD2 è soddisfatta adempiendo a tutti gli obblighi delineati nella direttiva specifica per ogni partecipante al processo di transazione. Gli standard di comunicazione comuni e sicuri richiedono una certificazione al fine di essere conformi, ma gli standard di strong customer authentication sono soddisfatti semplicemente utilizzando un metodo legittimo di autenticazione.